Llevar a cabo una evaluación de seguridad es el primer paso para la comprensión de las vulnerabilidades en la infraestructura. Una evaluación de seguridad forma parte de una auditoría de seguridad, en la que se analizan sistemas y prácticas, incluida la conformidad de seguridad.
Por lo general, una evaluación de seguridad hace referencia a examinar la infraestructura física de una organización (firewalls, redes, hardware, etc.) para identificar vulnerabilidades y defectos. Una evaluación de seguridad no es lo mismo que una auditoría de seguridad. Una auditoría de seguridad no solo abarca una revisión de la infraestructura física, sino también otras áreas como las directivas y los procedimientos operativos estándar, incluida la conformidad de seguridad. Una vez obtenida la auditoría, es posible decidir los pasos para solucionar los problemas dentro del sistema.
Durante la preparación para realizar una auditoría de seguridad, se pueden realizar estas preguntas generales:
- ¿Nuestra organización tiene la obligación de seguir una norma de cumplimiento? De ser así, ¿cuál?
- ¿Cuál es nuestro intervalo de auditoría?
- ¿Cuál es nuestro intervalo de autoevaluación interna?
- ¿Tenemos acceso a los resultados de auditoría anteriores y los hemos visto?
- ¿Utilizamos una empresa de auditoría externa para prepararnos para una auditoría? De ser así, ¿cuál es su nivel de comodidad con la virtualización?
- ¿Ejecutamos análisis de vulnerabilidad en los sistemas y las aplicaciones? ¿Cuándo y con qué frecuencia?
- ¿Cuáles son nuestras directivas de ciberseguridad internas?
- ¿El registro de auditoría se configuró según sus necesidades? Consulte Registro de auditoría en vSphere.
Si no existen instrucciones específicas o directrices sobre dónde empezar, es posible iniciar la protección del entorno de vSphere mediante las siguientes acciones:
- Mantener el entorno actualizado con las revisiones de software y firmware más recientes
- Mantener un nivel apropiado de protección y administración de contraseñas para todas las cuentas
- Revisar las recomendaciones de seguridad aprobadas por los proveedores
- Consultar las guías de configuración de seguridad de VMware (consulte Referencia de controles de seguridad de vSphere)
- Utilizar las instrucciones disponibles y comprobadas de marcos de directivas como NIST, ISO, etc.
- Seguir las instrucciones de los marcos de conformidad normativa como PCI, DISA y FedRAMP